Wirusy makr to potencjalnie niechciane programy napisane w językach makr osadzone w systemach przetwarzania danych tekstowych lub graficznych. Najpopularniejszymi wersjami wirusów są Microsoft Word, Excel i Office 97. Ponieważ tworzenie makrowirusa jest łatwe, są one dość powszechne. Powinieneś być bardzo ostrożny podczas pobierania wątpliwych dokumentów z Internetu. Wielu użytkowników nie docenia możliwości tych programów, popełniając ogromny błąd.

W jaki sposób wirus makr infekuje komputer?

Dzięki łatwy sposób makrowirusy są zdolne do reprodukcji tak szybko, jak to możliwe trafić na dużą liczbę plików. Wykorzystując możliwości makrojęzyków, otwierając lub zamykając zainfekowany dokument, z łatwością przenikają do wszystkich programów, do których w ten czy inny sposób uzyskuje się dostęp. Oznacza to, że jeśli otworzysz obraz za pomocą edytora graficznego, wirus makr rozprzestrzeni się przez pliki tego typu. Niektóre wirusy tego typu mogą być aktywne tak długo, jak otwarty jest edytor graficzny lub tekstowy, a nawet do wyłączenia komputera osobistego.

Działanie makrowirusów odbywa się zgodnie z następującą zasadą: podczas pracy z dokumentem Microsoft Word odczytuje i wykonuje różne polecenia podane w języku makr. Przede wszystkim szkodliwe oprogramowanie będzie próbowało przeniknąć do głównego szablonu dokumentu, dzięki czemu otwierane są wszystkie pliki. ten format. W tym samym czasie wirus makr tworzy kopię swojego kodu do globalnych makr (makr zapewniających dostęp do kluczowych parametrów), a po wyjściu z używanego programu jest ona automatycznie zapisywana do pliku z kropką (używanego do tworzenia nowych dokumentów). . Wirus następnie atakuje standardowe makra pliku w celu przechwycenia poleceń wysyłanych do innych plików, infekując je w ten sposób.

Zakażenie makrowirusem występuje w jednym z czterech przypadków:

  1. Jeśli w wirusie znajduje się automatyczne makro (jest ono wykonywane automatycznie podczas uruchamiania lub zamykania programu).
  2. Wirus zawiera główne makro systemowe (zwykle powiązane z elementami menu).
  3. Wirus jest aktywowany automatycznie po naciśnięciu określonego klawisza lub kombinacji.
  4. Reprodukcja wirusa następuje tylko wtedy, gdy jest on bezpośrednio uruchamiany.

Wirusy makr mogą uszkodzić wszystkie pliki połączone z programem w języku makr.

Jakie szkody wyrządzają makrowirusy?

W żadnym wypadku nie należy lekceważyć makrowirusów, ponieważ są to te same pełnowartościowe wirusy i mogą powodować nie mniej szkód na komputerze osobistym. Wirusy makr potrafią usuwać, edytować lub kopiować pliki zawierające dane osobowe i przekazywać je innej osobie za pośrednictwem poczty e-mail. A silniejsze programy mogą generalnie sformatować dysk twardy i przejąć kontrolę nad komputerem. Błędna jest więc opinia, że ​​makrowirusy są groźne tylko dla edytorów tekstu, ponieważ Word i Excel często mają styczność z ogromne ilości zróżnicowane programy.

Jak rozpoznać zainfekowany plik

Zazwyczaj dość łatwo jest zidentyfikować pliki zainfekowane wirusem makr, ponieważ nie działają one tak jak inne programy tego samego formatu.

Obecność makrowirusów można określić za pomocą następujących cech:

  1. Dokument programu Word nie jest zapisywany w innym formacie (za pomocą polecenia „zapisz jako...”)
  2. dokumentu nie można przenieść do innego folderu lub na dysk
  3. brak możliwości zapisania zmian w dokumencie (za pomocą polecenia „zapisz”)
  4. częste występowanie komunikatów o błędach systemowych dotyczących działania programu z odpowiednim kodem
  5. nietypowe zachowanie dokumentu
  6. większość wirusów makr można wykryć wizualnie, ponieważ ich twórcy często umieszczają informacje, takie jak nazwa programu, temat, kategoria, nazwisko autora i komentarze w zakładce Podsumowanie (otwieranej z menu kontekstowego).

Jak usunąć plik zainfekowany wirusem z komputera?

Przede wszystkim, jeśli znajdziesz podejrzany dokument lub plik, przeskanuj go programem antywirusowym. Niemal zawsze, po wykryciu zagrożenia, antywirusy spróbują wyleczyć plik lub całkowicie zablokować do niego dostęp. W poważniejszych przypadkach, gdy cały komputer jest już zainfekowany, użyj awaryjnego dysku instalacyjnego zawierającego program antywirusowy ze zaktualizowaną bazą danych. Przeskanuje dysk twardy i zneutralizuje znalezione złośliwe oprogramowanie. W przypadku, gdy program antywirusowy jest bezsilny i nie ma pod ręką dysku awaryjnego, użyj „ręcznej” metody leczenia:

  1. W zakładce "Widok" odznacz pole "Ukryj rozszerzenie dla wszystkich zarejestrowanych typów plików".
  2. znajdź zainfekowany plik i zmień rozszerzenie z .doc na .rtf
  3. usuń szablon Normalny. kropka
  4. zmień rozszerzenie pliku z powrotem i przywróć oryginalne parametry

W wyniku tych działań usunęliśmy wirusa z zainfekowanego dokumentu, ale nie oznacza to, że nie mógł pozostać w systemie komputerowym, dlatego przy pierwszej okazji przeskanuj wszystkie obiekty na swoim komputerze programem antywirusowym.

Jak chronić się przed makrowirusami

Leczenie komputera pod kątem wirusów makr może być dość trudne, dlatego najlepiej jest zapobiegać infekcji. Aby to zrobić, upewnij się, że twój program antywirusowy jest regularnie aktualizowany. Przed skopiowaniem plików z innych nośników lub z Internetu dokładnie sprawdź je pod kątem złośliwego oprogramowania. Jeśli masz słaby program antywirusowy lub w ogóle go nie masz, zapisz dokumenty w formacie .rtf, aby wirus nie mógł do nich przeniknąć.

Oczywiście zapamiętanie każdego z nich „z wzroku” jest zadaniem niemożliwym i niepotrzebnym. Jednak niektóre nadal warto wiedzieć więcej ze względu na ich niebezpieczeństwo i powszechne występowanie. W tym materiale przeanalizujemy, że są to makrowirusy. A także dlaczego ważna jest odpowiednia ocena ich zagrożenia.

Makrowirusy to...

Pierwsza połowa nazwy szkodliwego elementu pochodzi od słowa „makro”. Jest to zintegrowany składnik dokumentu MS Word lub Excel napisany w VBA. Makro ma dość szerokie możliwości: może formatować dysk twardy, usuwać pliki, kopiować poufne dane z informacji przechowywanych na komputerze i wysyłać je pocztą elektroniczną. Stąd istnieje wielkie niebezpieczeństwo pokonania takiego elementu.

Wirus makr to program napisany w języku makr do dalszego osadzania w wielu systemach przetwarzania i programy tekstowe i edytorów, oprogramowania arkuszy kalkulacyjnych itp. Powielanie szkodliwych elementów odbywa się dzięki możliwościom języków makro. W związku z tym można je dość łatwo przenosić z dokumentu do dokumentu, z jednego komputera na drugi. Jakie pliki są najczęściej infekowane przez wirusy makr? Głównie dokumenty Word i Excel.

Jak przebiega dystrybucja?

Infekowanie komputera odbywa się po prostu. Wszystko, co musisz zrobić, to otworzyć lub zamknąć plik zainfekowany wirusem makr na swoim komputerze. W tym samym czasie szkodliwe elementy przechwytują te standardowe, a następnie zaczynają infekować wszystkie takie pliki, do których uzyskujesz dostęp na swoim urządzeniu.

Wirusy makr są również rezydentnymi szkodliwymi elementami. Oznacza to, że są aktywne nie tylko w momencie otwierania/zamykania dokumentu, ale także podczas całej pracy programu tekstowego, graficznego czy arkusza kalkulacyjnego! A niektóre z nich są nawet w stanie pozostać w pamięci RAM komputera, dopóki nie zostanie wyłączone.

Należy zauważyć, że są one niezwykle łatwe do stworzenia: atakujący wystarczy otworzyć Word, przejść do Narzędzi, a następnie do Makr. Następnie wybiera edytor Visual Basic, w którym może już napisać złośliwy program w języku VBA.

Zasada wirusa

Podczas implementacji konkretnego polecenia Word wyszukuje i wykonuje odpowiednie makra:

  • Zapisywanie dokumentu - FileSave.
  • Wydruk — FilePrint.
  • Otwieranie pliku tekstowego - AutoOpen.
  • Zamknięcie dokumentu - AutoClose.
  • Samo uruchomienie programu - AutoExec.
  • Tworzenie nowego pliku — AutoNew i tak dalej.

Podobne makra, ale o różnych nazwach, są również używane przez program Excel.

W celu zainfekowania pliku Word złośliwe oprogramowanie wykorzystuje jedną z następujących technik:

  • Wirus makr zawiera już automatyczne makro.
  • Klęska systemu zaczyna się, gdy ustawisz wykonanie zadania dostarczonego przez twórcę wirusa.
  • Jedno ze standardowych makr jest redefiniowane. Zwykle to ostatnie jest związane z jakąś pozycją menu „Słowo”.
  • Naciskając określony klawisz lub ich kombinację, nie wiedząc o tym, uruchamiasz złośliwe automatyczne makro. I już zaczyna swoją „pracę”.

Wirusy makr infekują pliki w następujący sposób:

  1. Otwierasz dokument tekstowy, którego dotyczy problem.
  2. Kod wirusa jest kopiowany do globalnych makr dokumentu.
  3. Te ostatnie, już zainfekowane, są automatycznie zapisywane w dokumencie kropkowym (szablonie o nazwie Normal.dot) po zamknięciu pliku.
  4. W takim razie do wirusa należy przedefiniowanie standardowych makr. To pomaga mu przechwytywać polecenia do pracy z dokumentami elektronicznymi.
  5. Gdy te makra są wywoływane przez Ciebie, plik, nad którym pracujesz, jest zainfekowany.

Zdecydujmy teraz, jak wykryć obecność tych złośliwych elementów na komputerze.

Wykrywanie wirusów makr

Wirusy plikowe w tekstach i tabelach można zdefiniować w następujący sposób:

  • Nie mogę nagrać dokumentu na inny dysk lub inny katalog za pomocą opcji „Zapisz jako...”
  • Brak możliwości zapisania pliku w innym formacie (sprawdzane poleceniem „Zapisz jako…”).
  • Nie można zapisać zmian wprowadzonych w pliku.
  • Zakładka Poziom bezpieczeństwa staje się niedostępna. Znajdziesz go na ścieżce: "Serwis" - "Makro" - "Bezpieczeństwo".
  • Podczas pracy z dokumentem może pojawić się komunikat systemowy wskazujący na błąd.
  • Plik zachowuje się inaczej.
  • Jeśli klikniesz prawym przyciskiem myszy, aby zadzwonić menu kontekstowe podejrzany dokument i kliknij „Właściwości”, a następnie w sekcjach zakładki „Podsumowanie” twórca złośliwego oprogramowania wskaże losowe informacje lub tylko zestaw znaków.

Rozwiązywanie problemów

Oczywiście najłatwiej jest zapobiec wszelkiemu nieszczęściu. W takim przypadku Twój komputer powinien mieć nowoczesny program antywirusowy ze stale aktualizowaną bazą zagrożeń. Wiele takich programów ma monitor załadowany do pamięci RAM. Wykrywa zainfekowane pliki już przy próbie ich otwarcia. Antywirus stara się przede wszystkim wyleczyć taki dokument, a jeśli mu się to nie uda (co zdarza się bardzo rzadko), blokuje do niego dostęp.

Jeśli znajdziesz zagrożenie na niezabezpieczonym komputerze, musisz pobrać program antywirusowy lub odpowiednie narzędzie, które wykryje, zneutralizuje lub usunie zainfekowany plik. Ważne jest również, aby samemu zachować czujność: nie otwieraj dokumentów z nieznanych Ci źródeł lub, w skrajnych przypadkach, skanuj je w poszukiwaniu szkodliwych elementów, zanim to zrobisz.

Wirusy makr to zagrożenie, które rozprzestrzenia się za pośrednictwem plików tekstowych i arkuszy kalkulacyjnych. Dziś jest łatwy do wykrycia i wyeliminowania, co nie umniejsza niebezpieczeństwa i szkód spowodowanych przez to złośliwe oprogramowanie.

Eugeniusz Kasperski

Makrowirusy ( makrowirusy) to programy napisane w językach (makrojęzykach) osadzone w niektórych systemach przetwarzania danych (edytory tekstu, arkusze kalkulacyjne itp.). Do ich reprodukcji takie wirusy wykorzystują możliwości makrojęzyków i za ich pomocą są przenoszone z jednego zainfekowanego pliku (dokumentu lub tabeli) do innych. Wirusy makr dla Microsoft Word, Excel i Office 97 są najbardziej rozpowszechnione.

Do istnienia wirusów w konkretnym systemie (edytorze) konieczne jest posiadanie wbudowanego w system języka makr o następujących możliwościach:

  1. powiązanie programu w makrojęzyku z określonym plikiem;
  2. kopiować programy makr z jednego pliku do drugiego;
  3. uzyskać kontrolę makr bez interwencji użytkownika (makra automatyczne lub standardowe).

Opisane warunki spełniają redaktorzy MS Word, MS Office 97 i AmiPro oraz arkusz kalkulacyjny MS Excel. Systemy te zawierają języki makr (MS Word - Word Basic, MS Excel i MS Office 97 - Visual Basic), natomiast:

  1. programy makr są dołączone do określonego pliku (AmiPro) lub znajdują się w pliku (MS Word/Excel/Office 97);
  2. język makr umożliwia kopiowanie plików (AmiPro) lub przenoszenie programów makr do plików usług systemowych i plików edytowalnych (MSWord / Excel / Office 97);
  3. podczas pracy z plikiem w określonych warunkach (otwieranie, zamykanie itp.) wywoływane są programy makr (jeśli istnieją), które są zdefiniowane w specjalny sposób (AmiPro) lub mają standardowe nazwy (MS Word / Excel / Office 97).

Ta ostatnia funkcja jest przeznaczona do automatycznego przetwarzania danych w dużych organizacjach lub sieciach globalnych i pozwala na zorganizowanie tzw. „zautomatyzowanego przepływu pracy”. Z drugiej strony możliwości języków makro takich systemów pozwalają wirusowi przenosić swój kod do innych plików i w ten sposób je infekować.

W czterech powyższych produkty oprogramowania wirusy przejmują kontrolę podczas otwierania lub zamykania zainfekowanego pliku, przechwytują standardowe funkcje plików, a następnie infekują pliki, do których uzyskuje się dostęp w jakiś sposób. Analogicznie do systemu DOS możemy powiedzieć, że większość wirusów makr to wirusy rezydentne: są one aktywne nie tylko w momencie otwierania lub zamykania pliku, ale tak długo, jak aktywny jest sam edytor.


informacje ogólne

Fizyczna lokalizacja wirusa wewnątrz pliku zależy od jego formatu, który w przypadku produktów Microsoft jest niezwykle złożony: każdy plik dokumentu Word, dokument Office 97 czy arkusz kalkulacyjny Excel to sekwencja bloków danych (z których każdy ma również swój własny format), połączone ze sobą przy użyciu dużej ilości danych serwisowych. Ten format nazywa się OLE2 (łączenie i osadzanie obiektów). Struktura plików Worda, Excela i Office 97 (OLE2) przypomina skomplikowaną system plików Dyski DOS: „katalog główny” pliku dokumentu lub tabeli wskazuje główne podkatalogi różnych bloków danych, kilka „tablic FAT” zawiera informacje o lokalizacji bloków danych w dokumencie itp.

Ponadto, System biurowy Binder, który obsługuje standardy Word i Excel, umożliwia tworzenie plików, które jednocześnie zawierają jeden lub więcej dokumentów w formacie Word oraz jedną lub więcej tabel w format Excela Co więcej, wirusy Worda mogą infekować dokumenty Worda, a wirusy Excela mogą infekować tabele Excela, a wszystko to jest możliwe w ramach jednego pliku dyskowego. To samo dotyczy pakietu Office 97.

Należy zauważyć, że wersje MS Word 6 i 7 umożliwiają szyfrowanie makr obecnych w dokumencie. Dlatego niektóre wirusy Word są obecne w zainfekowanych dokumentach w postaci zaszyfrowanej (tylko wykonanie).

Większość znanych wirusów programu Word jest niekompatybilna z krajowymi (w tym rosyjskimi) wersjami programu Word lub odwrotnie, są one przeznaczone tylko dla zlokalizowanych wersji programu Word i nie działają w wersji angielskiej. Jednak wirus w dokumencie jest nadal aktywny i może infekować inne komputery z zainstalowaną na nich odpowiednią wersją programu Word.

Wirusy dla programu Word mogą infekować komputery dowolnej klasy, nie tylko komputery IBM PC. Infekcja jest możliwa, jeśli na tym komputerze jest zainstalowany edytor tekstu, który jest w pełni zgodny z programem Microsoft Word w wersji 6 lub 7 (na przykład MS Word dla komputerów Macintosh). To samo dotyczy MS Excel i MS Office 97.

Interesujące jest to, że formaty dokumentów Word, arkusze Excel, a zwłaszcza Office 97 mają następującą cechę: pliki dokumentów i tabele zawierają „dodatkowe” bloki danych, czyli dane, które nie są w żaden sposób związane z edytowanym tekstem lub tabelami, czy kopiami które przypadkowo pojawiają się tam inne dane pliku. Przyczyną występowania takich bloków danych jest klastrowa organizacja danych w dokumentach i tabelach OLE2. Nawet jeśli wprowadzi się tylko jeden znak tekstu, to przyporządkowany jest mu jeden lub nawet kilka klastrów danych. Podczas zapisywania dokumentów i tabel w klastrach, które nie są wypełnione „użytecznymi” danymi, pozostają „śmieci”, które trafiają do pliku wraz z innymi danymi. Ilość „śmieci” w plikach można zmniejszyć, anulując ustawienie „Zezwalaj na szybkie zapisywanie” programu Word/Excel, ale to tylko zmniejsza całkowitą ilość „śmieci”, ale nie usuwa ich całkowicie.

Należy również zauważyć, że niektóre wersje OLE2.DLL zawierają niewielką usterkę, w wyniku której podczas pracy z dokumentami Word, Excel, a zwłaszcza Office 97 losowe dane z dysku, w tym poufne (usunięte pliki, katalogi itd.).

Wirusy MS Word/Excel/Office 97:
zasady pracy

Podczas pracy z dokumentem MS Word w wersji 6 i 7 wykonuje różne czynności: otwiera dokument, zapisuje, drukuje, zamyka itp. Jednocześnie Word wyszukuje i wykonuje odpowiednie wbudowane makra: podczas zapisywania pliku za pomocą polecenia Plik / Zapisz wywoływane jest makro FileSave, przy zapisie poleceniem File/SaveAs - FileSaveAs, podczas drukowania dokumentów - FilePrint itp., jeśli oczywiście takie makra są zdefiniowane.

Istnieje również kilka „automatycznych makr”, które są wywoływane automatycznie w różnych warunkach. Na przykład podczas otwierania dokument słowny sprawdza go pod kątem obecności makra AutoOpen. Jeśli takie makro jest obecne, program Word je wykonuje. Gdy dokument jest zamknięty, program Word wykonuje makro Autozamykanie, po uruchomieniu programu Word makro AutoExec jest wywoływane, po zamknięciu — AutoExit, a podczas tworzenia nowego dokumentu — AutoNew. Podobne mechanizmy, ale z różnymi nazwami makr i funkcji, są również używane w programie Excel/Office 97.

Makrowirusy, które infekują Pliki Word, Excel lub Office 97 zazwyczaj używają jednej z trzech powyższych technik:

  1. wirus ma auto makro (funkcja auto);
  2. jedno ze standardowych makr systemowych (powiązane z niektórymi pozycjami menu) jest przedefiniowane w wirusie;
  3. makro wirusa jest wywoływane automatycznie po naciśnięciu dowolnego klawisza lub kombinacji klawiszy.

Istnieją również półwirusy, które nie wykorzystują wymienionych technik i mnożą się tylko wtedy, gdy użytkownik samodzielnie uruchamia je w celu wykonania.

Większość wirusów makr zawiera wszystkie swoje funkcje jako standardowe makra MS Word/Excel/Office 97. Istnieją jednak wirusy, które ukrywają swój kod i przechowują swój kod jako nie-makra. Znane są trzy takie metody. Wszystkie wykorzystują zdolność makr do tworzenia, edycji i wykonywania innych makr. Z reguły takie wirusy mają mały (czasem polimorficzny) program do ładowania makr, który wywołuje wbudowany edytor makr, tworzy nowe makro, wypełnia je głównym kodem wirusa, wykonuje, a następnie z reguły niszczy je, aby ukryć ślady obecności wirusa. Główny kod takich wirusów jest obecny w ciele samego wirusa w postaci ciągi tekstowe lub przechowywane w obszarze zmiennych dokumentu lub w obszarze Auto-tekst.

Algorytm pracy
Wirusy makr dla programu Word

Większość znanych wirusów programu Word (wersje 6, 7 i Word 97) po uruchomieniu przenosi swój własny kod do obszaru globalnych makr („ogólnych” makr) dokumentu.

Po zamknięciu programu Word makra globalne (w tym makra wirusów) są automatycznie zapisywane w pliku DOT makr globalnych (zazwyczaj NORMAL.DOT). W ten sposób wirus jest aktywowany w momencie, gdy Word ładuje globalne makra.

Następnie wirus przedefiniowuje (lub już zawiera) jedno lub więcej standardowych makr (na przykład FileOpen, FileSave, FileSaveAs, FilePrint) i w ten sposób przechwytuje polecenia do pracy z plikami. Po wywołaniu tych poleceń plik, do którego uzyskuje się dostęp, jest zainfekowany. W tym celu wirus konwertuje plik do formatu Szablon (co uniemożliwia dalszą zmianę formatu pliku, tj. konwersję do innego formatu innego niż Szablon) i zapisuje do niego swoje makra, w tym Auto-makro.

Inny sposób na wprowadzenie wirusa do systemu opiera się na tzw. plikach „dodatków”, czyli plikach będących dodatkami usług do Worda. W takim przypadku plik NORMAL.DOT nie jest zmieniany, a program Word podczas uruchamiania ładuje makra wirusów z pliku (lub plików) zidentyfikowanych jako „Dodatek”. Ta metoda prawie całkowicie powtarza infekcję globalnych makr, z wyjątkiem tego, że makra wirusów nie są przechowywane w NORMAL.DOT, ale w jakimś innym pliku.

Możliwe jest również wstrzyknięcie wirusa do plików znajdujących się w katalogu STARTUP. W takim przypadku program Word automatycznie ładuje pliki szablonów z tego katalogu, ale takie wirusy nie zostały jeszcze napotkane.

Wykrywanie wirusów makr

Charakterystyczne oznaki obecności makrowirusów to:

  1. niemożność przekonwertowania zainfekowanego dokumentu Word na inny format;
  2. zainfekowane pliki są w formacie szablonu, ponieważ po zainfekowaniu wirusy Word konwertują pliki z formatu dokumentu Word do szablonu
  3. niemożność zapisania dokumentu do innego katalogu lub na inny dysk za pomocą polecenia „Zapisz jako” (tylko dla Word 6);
  4. w katalogu STARTUP znajdują się "obce" pliki;
  5. obecność w Księdze (Księdze) „dodatkowych” i ukrytych Arkuszy (Arkuszy).

Możesz użyć pozycji menu Narzędzia/Makro, aby sprawdzić system pod kątem obecności wirusa. Jeśli zostaną znalezione „obce makra”, mogą one należeć do wirusa. Jednak ta metoda nie działa w przypadku ukrytych wirusów, które „zabraniają” działania tego elementu menu, co z kolei jest wystarczającym powodem, aby uznać system za zainfekowany.

Wiele wirusów zawiera błędy lub działa niepoprawnie w różnych wersjach programu Word/Excel, w wyniku czego programy te wyświetlają komunikaty o błędach, na przykład:

WordBasic Err = numer błędu.

Jeśli taki komunikat pojawia się podczas edycji nowego dokumentu lub arkusza kalkulacyjnego i oczywiście nie są używane żadne makra użytkownika, może to również świadczyć o infekcji systemu. Zmiany w plikach i konfiguracji systemowej Worda, Excela i Windowsa również są sygnałem wirusa. Wiele wirusów w taki czy inny sposób zmienia pozycje menu Narzędzia / Opcje - włącz lub wyłącz funkcje "Pytaj o zapisanie normalnego szablonu", "Zezwól na szybkie zapisywanie", "Ochrona przed wirusami". Niektóre wirusy ustawiają hasło na zainfekowanych plikach. Duża liczba wirusów tworzy nowe sekcje i/lub opcje w pliku konfiguracyjnym Windows (WIN.INI).

Oczywiście przejawy wirusa obejmują takie „niespodzianki”, jak pojawienie się wiadomości lub dialogów o dość dziwnej treści lub w języku, który nie pasuje do języka zainstalowana wersja Słowo/Excel.

Powrót do zdrowia
dotknięte obiekty

W większości przypadków procedura „leczenia” zainfekowanych plików i dysków sprowadza się do uruchomienia odpowiedniego oprogramowania antywirusowego. Ale zdarzają się sytuacje, w których neutralizacja wirusa musi być przeprowadzona niezależnie, czyli „ręcznie”.

Aby zneutralizować wirusy Word i Excel wystarczy zapisać wszystkie niezbędne informacje w formacie nie-dokumentowym i nie-arkuszowym. Najbardziej odpowiedni jest tekstowy format RTF, który zawiera prawie wszystkie informacje z oryginalnych dokumentów i nie zawiera makr.

Następnie wyjdź z programu Word/Excel, zniszcz wszystkie zainfekowane dokumenty programu Word, arkusze kalkulacyjne programu Excel, NORMAL.DOT dla programu Word i wszystkie dokumenty/tabele w katalogach STARTUP programu Word/Excel. Następnie należy uruchomić Word / Excel i przywrócić dokumenty / tabele z plików RTF.

W wyniku tej procedury wirus zostanie usunięty z systemu, a prawie wszystkie informacje pozostaną niezmienione. Jednak ta metoda ma wiele wad. Główną z nich jest złożoność konwersji dokumentów i tabel do formatu RTF, jeśli ich liczba jest duża. Dodatkowo w przypadku Excela konieczne jest osobne przekonwertowanie wszystkich Arkuszy w każdym pliku Excel.

Kolejną istotną wadą jest utrata normalnych makr używanych w pracy. Dlatego przed rozpoczęciem opisanej procedury należy zapisać ich oryginalny tekst, a po zneutralizowaniu wirusa przywrócić niezbędne makra w ich oryginalnej formie.

Skąd pochodzą wirusy
i jak uniknąć infekcji

Obecnie głównym źródłem wirusów jest Internet. Najwięcej infekcji wirusowych występuje podczas wymiany listów w formatach MS Word/Office 97: użytkownik edytora zainfekowany wirusem makr, nie wiedząc o tym, wysyła „zainfekowane” listy do swoich odbiorców, a oni wysyłają nowe listy itp. .

Załóżmy, że użytkownik koresponduje z pięcioma odbiorcami, z których każdy z kolei koresponduje również z pięcioma odbiorcami. Po wysłaniu „wirusowego” listu wszystkie pięć komputerów, które go otrzymały, jest zainfekowanych. Na drugim poziomie dystrybucji zainfekowanych zostanie już 1+5+20=26 komputerów. Jeżeli odbiorcy sieci wymieniają listy raz dziennie, to do końca tygodnia roboczego (w ciągu 5 dni) zainfekowanych zostanie co najmniej 1+5+20+80+320=426 komputerów. Łatwo obliczyć, że w ciągu 10 dni zostanie zainfekowanych ponad sto tysięcy komputerów! I każdego dnia ich liczba będzie czterokrotnie większa.

Opisany przypadek rozprzestrzeniania się wirusa jest najczęściej rejestrowany przez firmy antywirusowe. Nierzadko zdarza się jednak, że zainfekowany plik dokumentu lub arkusz kalkulacyjny programu Excel znajduje się na listach mailingowych informacji handlowych dużej firmy z powodu przeoczenia. W takim przypadku ucierpi nie pięciu, ale setki, a nawet tysiące subskrybentów takich wysyłek, którzy następnie wyślą zainfekowane pliki do dziesiątek tysięcy swoich subskrybentów.

Jednym z głównych źródeł wirusów są również publiczne serwery plików i konferencje elektroniczne. Prawie co tydzień pojawia się wiadomość, że jakiś użytkownik zainfekował swój komputer wirusem uzyskanym z BBS, serwera ftp lub konferencji elektronicznej.

W takim przypadku zainfekowane pliki są często „przesyłane” przez autora wirusa do kilku BBS/ftp lub wysyłane na kilka konferencji pod przykrywką nowych wersji niektórych programów (w tym antywirusów).

Kiedy masowe mailowanie Tysiące komputerów może być jednocześnie dotkniętych wirusem na serwerach plików BBS/ftp, jednak w większości przypadków wirusy DOS lub Windows są „wysyłane”, których szybkość rozprzestrzeniania się w nowoczesnych warunkach jest znacznie niższa niż ich odpowiedników makr . Z tego powodu takie incydenty prawie nigdy nie kończą się masowymi epidemiami.

Trzecim sposobem szybkiego rozprzestrzeniania się wirusów są sieci lokalne. Jeśli nie zostaną podjęte niezbędne środki ochronne, zarażony stanowisko pracy wchodząc do sieci infekuje jeden lub więcej plików usług na serwerze, różne oprogramowanie, standardowe szablony dokumentów czy arkusze Excela używane w firmie itp.

Zagrożeniem są również komputery zainstalowane w placówkach oświatowych. Jeśli jeden z uczniów przyniósł wirusa na swoją dyskietkę i zainfekował któryś z komputerów edukacyjnych, to wszyscy pozostali uczniowie pracujący na tym komputerze również otrzymają kolejną „infekcję”.

To samo dotyczy komputerów domowych, jeśli pracuje na nich więcej niż jedna osoba. Nierzadko zdarza się, że syn (lub córka studenta), pracujący na komputerze z wieloma użytkownikami w instytucie, przeciąga wirusa na komputer domowy, powodując wejście wirusa śieć komputerowa firmy ojca lub matki.

Podsumowując, chciałbym zauważyć, że pomimo pozornej złożoności walki z makrowirusami nie jest tak trudno uchronić się przed tą „infekcją” przy spokojnym i kompetentnym podejściu do problemu.

Rzadko, ale nadal jest całkiem możliwe zainfekowanie komputera wirusem podczas jego naprawy lub rutynowej kontroli. Mechanicy to też ludzie, a niektórzy z nich mają tendencję do przejmowania się podstawowymi zasadami bezpieczeństwa komputerowego.

Wirusy makr (makrowirusy) to programy w językach (makrojęzykach) wbudowanych w niektóre systemy przetwarzania danych (edytory tekstu, arkusze kalkulacyjne itp.), a także w językach skryptowych, takich jak VBA (Visual Basic for Applications) JS ( Skrypt Java). Do ich reprodukcji wirusy takie wykorzystują możliwości makrojęzyków iz ich pomocą przenoszą się z jednego zainfekowanego pliku (dokumentu lub tabeli) na inne. Najczęściej używane są makrowirusy Microsoft Office. Istnieją również makrowirusy, które infekują dokumenty i bazy danych Ami Pro. Do istnienia wirusów w konkretnym systemie (edytorze) konieczne jest posiadanie wbudowanego w system języka makr o następujących możliwościach:

1. powiązanie programu w makrojęzyku z określonym plikiem;
2. kopiowanie makroprogramów z jednego pliku do drugiego;
3. możliwość uzyskania kontroli nad programem makr bez ingerencji użytkownika (makra automatyczne lub standardowe).

Warunki te spełniają edytory Microsoft Word, Office i AmiPro, a także arkusz kalkulacyjny Excel i baza danych Dane firmy Microsoft dostęp. Systemy te zawierają języki makr: Word - Word Basic; Excel, Access - VBA. W którym:

1. Makroprogramy są powiązane z określonym plikiem (AmiPro) lub znajdują się w pliku (Word, Excel, Access);
2. język makr umożliwia kopiowanie plików (AmiPro) lub przenoszenie programów makr do plików usług systemowych i plików edytowalnych (Word, Excel);
3. podczas pracy z plikiem, gdy określone warunki(otwieranie, zamykanie itp.) wywoływane są programy makr (jeśli występują), które są zdefiniowane w specjalny sposób (AmiPro) lub mają standardowe nazwy (Word, Excel).

Ta cecha języków makr jest przeznaczona do automatycznego przetwarzania danych w dużych organizacjach lub sieciach globalnych i pozwala organizować tak zwany „zautomatyzowany przepływ pracy”. Z drugiej strony możliwości języków makro takich systemów pozwalają wirusowi przenosić swój kod do innych plików, a tym samym infekować je. Wirusy przejmują kontrolę podczas otwierania lub zamykania zainfekowanego pliku, przechwytują standardowe funkcje plików, a następnie infekują pliki, do których uzyskuje się dostęp w jakiś sposób. Przez analogię do MS-DOS możemy powiedzieć, że większość wirusów makr jest rezydentnych: są one aktywne nie tylko podczas otwierania/zamykania pliku, ale tak długo, jak aktywny jest sam edytor.

Wirusy Word/Excel/Office: informacje ogólne

Fizyczna lokalizacja wirusa wewnątrz pliku zależy od jego formatu, który w przypadku produktów Microsoft jest niezwykle złożony – każdy plik dokumentu Word, arkusz kalkulacyjny Excel to sekwencja bloków danych (z których każdy ma również swój własny format), połączonych ze sobą przy użyciu dużej ilości danych serwisowych. Ten format nazywa się OLE2 — łączenie i osadzanie obiektów.

Struktura plików Word, Excel i Office (OLE2) przypomina wyrafinowany dyskowy system plików: „katalog główny” pliku dokumentu lub tabeli wskazuje na główne podkatalogi różnych bloków danych, kilka tabel FAT zawiera informacje o lokalizacji bloki danych w dokumencie i tak dalej. Ponadto system Office Binder, obsługujący standardy Word i Excel, umożliwia tworzenie plików zawierających jednocześnie jeden lub więcej dokumentów Word oraz jeden lub więcej arkuszy Excel. Jednocześnie wirusy Word mogą infekować dokumenty Word, a wirusy Excel mogą infekować tabele Excel, a wszystko to jest możliwe w ramach jednego plik na dysku. To samo dotyczy pakietu Office. Większość znanych wirusów programu Word jest niekompatybilna z krajowymi (w tym rosyjskimi) wersjami programu Word lub odwrotnie — są one przeznaczone tylko dla zlokalizowanych wersji programu Word i nie działają w wersji angielskiej. Jednak wirus w dokumencie jest nadal aktywny i może infekować inne komputery z zainstalowaną na nich odpowiednią wersją programu Word. Wirusy dla programu Word mogą infekować komputery dowolnej klasy. Infekcja jest możliwa, jeśli na tym komputerze jest zainstalowany edytor tekstu, który jest w pełni zgodny z programem Microsoft Word w wersji 6 lub 7 lub nowszym (na przykład MS Word dla komputerów Macintosh).

To samo dotyczy programu Excel i pakietu Office. Należy również zauważyć, że złożoność formatów dokumentów Word, arkuszy kalkulacyjnych Excel, a zwłaszcza pakietu Office, ma następującą cechę: w plikach dokumentów i tabelach znajdują się „dodatkowe” bloki danych, tj. dane, które nie są w żaden sposób powiązane z edytowanym tekstem lub tabelami, lub są kopiami innych danych w pliku, które się tam znajdowały. Przyczyną występowania takich bloków danych jest klastrowa organizacja danych w dokumentach i tabelach OLE2 - nawet jeśli wprowadzi się tylko jeden znak tekstu, to przydzielony jest do niego jeden lub nawet kilka klastrów danych. Podczas zapisywania dokumentów i tabel w klastrach, które nie są wypełnione „użytecznymi” danymi, pozostają „śmieci”, które trafiają do pliku wraz z innymi danymi. Ilość „śmieci” w plikach można zmniejszyć, odznaczając opcję „Zezwalaj na szybkie zapisywanie” programu Word/Excel, ale to tylko zmniejsza całkowitą ilość „śmieci”, ale nie usuwa ich całkowicie. Konsekwencją tego jest fakt, że podczas edycji dokumentu jego rozmiar zmienia się niezależnie od wykonywanych na nim czynności - przy dodawaniu nowego tekstu rozmiar pliku może się zmniejszyć, a przy usuwaniu fragmentu tekstu może się zwiększyć.

To samo z wirusami makr: kiedy plik jest zainfekowany, jego rozmiar może się zmniejszyć, zwiększyć lub pozostać niezmieniony. Należy również zauważyć, że niektóre wersje OLE2.DLL zawierają niewielką usterkę, w wyniku której podczas pracy z dokumentami Word, Excel, a zwłaszcza Office, losowe dane z dysku, w tym dane poufne (usunięte pliki, katalogi, itp.) .d.). Do tych bloków mogą również dostać się polecenia wirusów. W rezultacie, po wyleczeniu zainfekowanych dokumentów, aktywny kod wirusa jest usuwany z pliku, ale niektóre jego polecenia mogą pozostać w blokach „śmieci”. Takie ślady obecności wirusa są czasami widoczne w edytorach tekstu i mogą nawet powodować reakcję niektórych programów antywirusowych. Jednak te pozostałości wirusa są całkowicie nieszkodliwe: Word i Excel nie zwracają na nie uwagi.

Wirusy Word/Excel/Office: jak działają

Wykonuje różne czynności podczas pracy z dokumentem Word w wersji 6 i 7 lub nowszej: otwiera dokument, zapisuje, drukuje, zamyka itp. Jednocześnie Word wyszukuje i wykonuje odpowiednie „wbudowane makra” – podczas zapisywania pliku za pomocą polecenia Plik / Zapisz wywoływane jest makro FileSave, podczas zapisywania za pomocą polecenia Plik / ZapiszAs - FileSaveAs, podczas drukowania dokumentów - FilePrint itp., jeśli oczywiście są zdefiniowane makra. Istnieje również kilka „automatycznych makr”, które są wywoływane automatycznie w różnych warunkach. Na przykład po otwarciu dokumentu program Word sprawdza go pod kątem obecności makra AutoOpen. Jeśli takie makro jest obecne, program Word je wykonuje. Gdy dokument jest zamknięty, program Word wykonuje makro Autozamykanie, po uruchomieniu programu Word makro AutoExec jest wywoływane, po zamknięciu — AutoExit, a podczas tworzenia nowego dokumentu — AutoNew.

Podobne mechanizmy (ale z różnymi nazwami makr i funkcji) są stosowane w Excel/Office, w którym rolę makr auto- i wbudowanych pełnią funkcje auto- i wbudowane obecne w dowolnym makrze lub makrach, a kilka funkcje wbudowane mogą być obecne w jednym makro oraz funkcje auto. Automatycznie (tj. bez interwencji użytkownika) wykonywane są również makra/funkcje związane z dowolnym klawiszem, czasem lub datą, tj. Word/Excel wywołuje makro/funkcję po naciśnięciu określonego klawisza (lub kombinacji klawiszy) lub po osiągnięciu określonego momentu. W pakiecie Office możliwości przechwytywania zdarzeń są nieco rozszerzone, ale zasada jest taka sama.

Wirusy makr, które infekują pliki programów Word, Excel lub Office, zwykle używają jednej z trzech metod wymienionych powyżej — albo w wirusie jest obecne automakro (funkcja automatyczna), albo jedno ze standardowych makr systemowych jest przedefiniowane (powiązane z niektórymi menu element) lub makro wirusa jest wywoływane automatycznie po naciśnięciu dowolnego klawisza lub kombinacji klawiszy. Istnieją również półwirusy, które nie wykorzystują wszystkich tych sztuczek i mnożą się tylko wtedy, gdy użytkownik samodzielnie je uruchamia. Tak więc, jeśli dokument jest zainfekowany, podczas otwierania dokumentu Word wywołuje zainfekowane makro AutoOpen (lub AutoClose, gdy dokument jest zamknięty) i uruchamia w ten sposób kod wirusa, chyba że jest to zabronione przez zmienną systemową DisableAutoMacros. Jeśli wirus zawiera makra o standardowych nazwach, są one kontrolowane przez wywołanie odpowiedniego elementu menu (Plik/Otwórz, Plik/Zamknij, Plik/Zapisz jako). Jeśli dowolny symbol klawiatury zostanie przedefiniowany, wirus zostanie aktywowany dopiero po naciśnięciu odpowiedniego klawisza.

Większość wirusów makr zawiera wszystkie swoje funkcje jako standardowe makra Word/Excel/Office. Istnieją jednak wirusy, które wykorzystują sztuczki, aby ukryć swój kod i przechowywać swój kod w formie innej niż makro. Znane są trzy takie techniki, wszystkie wykorzystują zdolność makr do tworzenia, edycji i wykonywania innych makr. Z reguły takie wirusy mają małe (czasem polimorficzne) makro programu ładującego wirusy, które wywołuje wbudowany edytor makr, tworzy nowe makro, wypełnia je głównym kodem wirusa, wykonuje, a następnie z reguły je niszczy (aby ukryć ślady obecności wirusa). Główny kod takich wirusów znajduje się w samym makrze wirusa w postaci ciągów tekstowych (czasem zaszyfrowanych) lub jest przechowywany w obszarze zmiennych dokumentu lub w obszarze Auto-tekst.

Algorytm działania makrowirusów Worda

Większość znanych wirusów Word po uruchomieniu przenosi swój kod (makra) do globalnego obszaru makr w dokumencie (makra „ogólne”), w tym celu używają poleceń do kopiowania makr MacroCopy, Organizer.Copy lub za pomocą edytora makr - wirus wywołuje je, tworzy nowe makro, wstawia do niego swój kod, który zapisuje w dokumencie. Po zamknięciu programu Word makra globalne (w tym makra wirusów) są automatycznie zapisywane w pliku DOT makr globalnych (zazwyczaj NORMAL.DOT). Więc następnym razem, gdy biegniesz Edytor MS-Word wirus jest aktywowany w momencie, gdy WinWord ładuje globalne makra, tj. od razu. Następnie wirus przedefiniowuje (lub już zawiera) jedno lub więcej standardowych makr (na przykład FileOpen, FileSave, FileSaveAs, FilePrint) iw ten sposób przechwytuje polecenia manipulacji plikami. Gdy te polecenia są wywoływane, wirus infekuje plik, do którego uzyskuje się dostęp. W tym celu wirus konwertuje plik do formatu Szablon (co uniemożliwia dalszą zmianę formatu pliku, tj. konwersję do innego formatu innego niż Szablon) i zapisuje do niego swoje makra, w tym Auto-makro. Tak więc, jeśli wirus przechwyci makro FileSaveAs, każdy plik DOC zapisany przez makro przechwycone przez wirusa zostanie zainfekowany. Jeśli makro FileOpen zostanie przechwycone, wirus zapisuje się do pliku podczas odczytywania go z dysku.

Druga metoda wprowadzania wirusa do systemu jest stosowana znacznie rzadziej - opiera się na tzw. plikach „dodatkowych”, czyli tzw. pliki, które są dodatkami usług do programu Word. W takim przypadku plik NORMAL.DOT nie jest zmieniany, a program Word ładuje makra wirusów z pliku (lub plików) określonego podczas uruchamiania jako „Dodatek”. Ta metoda prawie całkowicie powtarza infekcję globalnych makr, z wyjątkiem tego, że makra wirusów są przechowywane nie w NORMAL.DOT, ale w jakimś innym pliku. Możliwe jest również wstrzyknięcie wirusa do plików znajdujących się w katalogu STARTUP — Word automatycznie ładuje pliki szablonów z tego katalogu, ale takie wirusy nie zostały jeszcze napotkane. Powyższe metody wprowadzania do systemu są pewnymi odpowiednikami rezydentnych wirusów DOS. Analogiem nierezydentów są wirusy makr, które nie przenoszą swojego kodu do obszaru makr systemowych - aby zainfekować inne pliki dokumentów, albo szukają ich za pomocą funkcji plików wbudowanych w Word, albo odwołują się do listy ostatnich edytowane pliki (lista ostatnio używanych plików) . Następnie takie wirusy otwierają dokument, infekują go i zamykają.

Algorytm działania makrowirusów Excel

Metody propagacji wirusów programu Excel są zasadniczo podobne do metod rozprzestrzeniania się wirusów programu Word. Różnice dotyczą poleceń kopiowania makr (np. Arkusze.Kopiuj) iw przypadku braku NORMAL.KROPKA - jego funkcję (w sensie wirusowym) pełnią pliki w katalogu STARTUP programu Excel. Należy zauważyć, że są dwa możliwe opcje lokalizacje kodu makrowirusa w Tabele Excela. Zdecydowana większość tych wirusów zapisuje swój kod w formacie VBA (Visual Basic for Applications), ale istnieją wirusy, które przechowują swój kod w starym formacie programu Excel w wersji 4.0. Takie wirusy zasadniczo nie różnią się od wirusów VBA, z wyjątkiem różnic w formacie lokalizacji kodów wirusów w arkuszach kalkulacyjnych Excel. Chociaż nowsze wersje programu Excel (od wersji 5) korzystają z bardziej zaawansowanych technologii, zachowano możliwość uruchamiania makr ze starszych wersji programu Excel w celu zachowania zgodności. Z tego powodu wszystkie makra napisane w formacie Excel 4 są w pełni funkcjonalne we wszystkich kolejnych wersjach, mimo że Microsoft nie zaleca ich używania i nie dołącza do Excela niezbędnej dokumentacji.

Algorytm wirusów dla Access

Ponieważ program Access jest częścią pakietu Office Pro, wirusy dla programu Access to te same makra na Język wizualny Podstawowe, podobnie jak inne wirusy, które infekują Aplikacje biurowe. Jednak w tym przypadku zamiast automakr system posiada automatyczne skrypty, które są wywoływane przez system przy różnych zdarzeniach (np. Autoexec). Skrypty te mogą następnie wywoływać różne programy makr. Tak więc, infekując bazy Dane dostępowe wirus musi zastąpić niektóre autoskrypty i skopiować swoje makra do zainfekowanej bazy danych. Infekcja skryptów bez dodatkowych makr nie jest możliwa, ponieważ język skryptowy jest dość prymitywny i nie zawiera niezbędnych do tego funkcji.

Należy zauważyć, że w kategoriach Access skrypty nazywane są makrami (makro), a makra nazywane są modułami (modułem), jednak w przyszłości będzie używana ujednolicona terminologia - skrypty i makra. Traktowanie baz danych Access jest więcej wymagające zadanie niż usuwanie innych wirusów makr, ponieważ w przypadku Access konieczne jest neutralizowanie nie tylko makr wirusów, ale także auto-skryptów. A ponieważ znaczna część pracy Accessa jest przypisana właśnie do skryptów i makr, to nieprawidłowe usunięcie lub dezaktywacja dowolnego elementu może doprowadzić do niemożności operacji z bazą danych. To samo dotyczy wirusów – nieprawidłowe podstawianie autoskryptów może prowadzić do utraty danych przechowywanych w bazie danych.

Wirusy AmiPro

Podczas pracy z dokumentem edytor AmiPro tworzy dwa pliki - tekst samego dokumentu (z rozszerzeniem nazwy SAM) oraz dodatkowy plik, zawierający makra dokumentów i ewentualnie inne informacje (rozszerzenie nazwy - SMM). Format obu plików jest dość prosty - są to zwykłe plik tekstowy, w którym zarówno tekst do edycji, jak i polecenia sterujące są obecne jako zwykłe ciągi tekstowe. Dokument może być powiązany z dowolnym makrem z pliku SMM (polecenie AssignMacroToFile). To makro jest analogiczne do AutoOpen i AutoClose w MS Word i jest wywoływane przez edytor AmiPro podczas otwierania lub zamykania pliku. Najwyraźniej AmiPro nie ma możliwości umieszczania makr w obszarze „ogólnym”, więc wirusy dla AmiPro mogą infekować system tylko wtedy, gdy otwierany jest zainfekowany plik, ale nie podczas uruchamiania systemu, jak to ma miejsce w przypadku MS-Word po zainfekowaniu Plik NORMAL.DOT. Podobnie jak MS Word, AmiPro pozwala na nadpisanie makr systemowych (np. SaveAs, Save) komendą ChangeMenuAction. Podczas wywoływania nadpisanych funkcji (polecenia menu) kontrolę przejmują zainfekowane makra, tj. kod wirusa.

Wirusy ukrywające się

Przedstawiciele tej klasy na różne sposoby maskują swoją obecność w systemie. Zwykle osiąga się to poprzez przechwycenie szeregu funkcji systemowych odpowiedzialnych za pracę z plikami. Technologie "stealth" uniemożliwiają wykrycie wirusa bez specjalnych narzędzi. Wirus maskuje zarówno przyrost długości zaatakowanego obiektu (pliku), jak i własne ciało, „zastępując” „zdrową” część pliku.

Podczas skanowania komputera programy antywirusowe odczyt danych - pliki i obszary systemowe - z dyski twarde i dyskietki, przy użyciu środków system operacyjny i BIOS. Stealth - wirusy, czyli niewidzialne wirusy, po uruchomieniu pozostawiają w pamięci RAM komputera specjalne moduły, które przechwytują dostęp programów do podsystemu dyskowego komputera. Jeśli taki moduł wykryje, że program użytkownika próbuje odczytać zainfekowany plik lub obszar systemowy dysku, w locie zastępuje czytelne dane i pozostaje niezauważony, oszukując programy antywirusowe.

Ponadto wirusy ukrywające się mogą ukrywać się w postaci strumieni w systemie i innych procesach, co również znacznie utrudnia ich wykrycie. Takich ukrytych wirusów nie można nawet zobaczyć na liście wszystkich uruchomionych, w ten moment, w systemie procesowym.

Istnieje prosty sposób na wyłączenie ukrytego mechanizmu maskowania wirusów. Wystarczy uruchomić komputer z niezainfekowanej dyskietki systemowej i przeskanować komputer programem antywirusowym bez uruchamiania programów z dysku komputera (mogą się okazać zainfekowane). W takim przypadku wirus nie będzie w stanie przejąć kontroli i zainstalować rezydentnego modułu w pamięci RAM, który implementuje algorytm ukrywania się, antywirus odczyta informacje faktycznie zapisane na dysku i łatwo wykryje „bakcyla”.

Większość programów antywirusowych przeciwdziała próbom niezauważenia wirusów stealth, jednak aby nie pozostawić im ani jednej szansy, przed sprawdzeniem komputera programem antywirusowym należy go wczytać z dyskietki, na której -programy wirusowe również powinny być napisane. Wiele programów antywirusowych jest tak skutecznych w zwalczaniu ukrytych wirusów, że wykrywają je, gdy próbują się zamaskować. Takie programy odczytują z dysku pliki programów do sprawdzenia za pomocą kilku różne metody- na przykład za pomocą systemu operacyjnego i BIOS-u: jeśli zostaną znalezione niezgodności, stwierdza się, że prawdopodobnie w pamięci RAM znajduje się ukryty wirus.

Wirusy polimorficzne

Do wirusów polimorficznych zaliczamy te, których wykrycie jest niemożliwe (lub niezwykle trudne) przy użyciu tzw. sygnatur wirusów - sekcji stałego kodu specyficznego dla konkretnego wirusa. Osiąga się to na dwa główne sposoby - poprzez zaszyfrowanie głównego kodu wirusa nietrwałym kluczem i losowym zestawem poleceń deszyfratora lub poprzez zmianę rzeczywistego kodu wirusa. Istnieją również inne dość egzotyczne przykłady polimorfizmu - na przykład wirus „Bomber” DOS jest niezaszyfrowany, ale sekwencja poleceń przekazujących kontrolę do kodu wirusa jest całkowicie polimorficzna.

Polimorfizm o różnym stopniu złożoności występuje we wszystkich typach wirusów - od wirusów rozruchowych i plikowych DOS po wirusy Windows, a nawet wirusy makr.

Większość pytań dotyczy terminu „wirus polimorficzny”. Ten typ wirusa komputerowego jest zdecydowanie najniebezpieczniejszy.

Wirusy polimorficzne to wirusy, które modyfikują swój kod w zainfekowanych programach w taki sposób, że dwie instancje tego samego wirusa mogą się nie zgadzać w jednym bicie.

Takie wirusy nie tylko szyfrują swój kod przy użyciu różnych ścieżek szyfrowania, ale również zawierają kod generowania programu szyfrującego i deszyfrującego, co odróżnia je od zwykłych wirusów szyfrujących, które mogą również szyfrować części swojego kodu, ale jednocześnie mają stały kod szyfratora i deszyfratora.

Wirusy polimorficzne to wirusy z samomodyfikującymi się dekoderami. Celem takiego szyfrowania jest to, że jeśli masz zainfekowany i oryginalny plik, nadal nie będziesz w stanie przeanalizować jego kodu za pomocą konwencjonalnego demontażu. Ten kod jest zaszyfrowany i jest bezsensownym zestawem poleceń. Odszyfrowywanie jest wykonywane przez samego wirusa w czasie wykonywania. Jednocześnie możliwe są opcje: może odszyfrować się od razu lub może wykonać takie odszyfrowanie „w ruchu”, może ponownie zaszyfrować już opracowane sekcje. Wszystko to ma na celu utrudnienie analizy kodu wirusa.

Dekryptery polimorficzne

Wirusy polimorficzne wykorzystują złożone algorytmy do generowania kodu swoich deszyfratorów: instrukcje (lub ich odpowiedniki) są zamieniane z infekcji na infekcję, rozcieńczane poleceniami, które niczego nie zmieniają, takimi jak NOP, STI, CLI, STC, CLC, DEC unused register, XCHG nieużywane rejestry itp. d.

W pełni rozwinięte wirusy polimorficzne wykorzystują jeszcze bardziej złożone algorytmy, w wyniku czego deszyfrator wirusa może napotkać operacje SUB, ADD, XOR, ROR, ROL i inne w dowolnej liczbie i kolejności. Ładowanie i zmiana kluczy i innych parametrów szyfrowania jest również wykonywana przez dowolny zestaw operacji, w którym mogą wystąpić prawie wszystkie instrukcje procesora Intela (ADD, SUB, TEST, XOR, OR, SHR, SHL, ROR, MOV, XCHG, JNZ, PUSH, POP...) ze wszystkimi możliwymi trybami adresowania. Pojawiają się również wirusy polimorficzne, których dekrypter używa instrukcji aż do Intel386, a latem 1997 roku odkryto 32-bitowy wirus polimorficzny, który infekuje pliki Windows95 EXE. Teraz istnieją już wirusy polimorficzne, które mogą również wykorzystywać różne polecenia nowoczesnych procesorów.

W rezultacie na początku pliku zainfekowanego takim wirusem znajduje się zestaw pozornie bezsensownych instrukcji, a niektóre kombinacje, które są dość wydajne, nie są przyjmowane przez zastrzeżone deasemblery (na przykład kombinacja CS:CS: lub CS :NIE). A wśród tej „kaszanki” poleceń i danych co jakiś czas przemykają MOV, XOR, LOOP, JMP – instrukcje, które naprawdę „działają”.

Poziomy polimorfizmu

Istnieje podział wirusów polimorficznych na poziomy w zależności od złożoności kodu znajdującego się w dekoderach tych wirusów. Podział ten został po raz pierwszy zaproponowany przez dr. Alan Solomon, po pewnym czasie Vesselin Bonchev go rozbudował.

Poziom 1: wirusy, które mają określony zestaw deszyfratorów z trwałym kodem i wybierają jeden z nich po zainfekowaniu. Takie wirusy są „pół-polimorficzne” i są również nazywane „oligomorficznymi” (oligomorficznymi). Przykłady: „Cheeba”, „Słowacja”, „Wieloryb”.
Poziom 2: Dekoder wirusa zawiera co najmniej jedną stałą instrukcję, ale jej główna część nie jest trwała.
Poziom 3: Deszyfrator zawiera nieużywane instrukcje - "śmieci", takie jak NOP, CLI, STI itp.
Poziom 4: Deszyfrator używa wymiennych instrukcji i instrukcji zmiany kolejności (tasowania). Algorytm deszyfrowania się nie zmienia.
Poziom 5: stosowane są wszystkie powyższe sztuczki, algorytm deszyfrowania jest niestabilny, możliwe jest ponowne zaszyfrowanie kodu wirusa, a nawet częściowe zaszyfrowanie samego kodu deszyfrującego.
Poziom 6: wirusy permutujące. Główny kod wirusa może ulec zmianie - jest podzielony na bloki, które podczas infekcji są przestawiane w dowolnej kolejności. Wirus pozostaje aktywny. Takie wirusy mogą być niezaszyfrowane.

Powyższy podział nie jest wolny od mankamentów, gdyż dokonywany jest według jednego kryterium - możliwości wykrycia wirusa przez kod deszyfratora przy użyciu standardowej metody masek wirusowych:

Poziom 1: do wykrycia wirusa wystarczy mieć kilka masek

Poziom 2: wykrywanie masek za pomocą „wildcards”

Poziom 3: wykrywanie masek po usunięciu instrukcji śmieci

Poziom 4: Maska zawiera kilka możliwych opcji kodu, tj. staje się algorytmiczny
Poziom 5: niemożność wykrycia wirusa za pomocą maski

Niewydolność takiego podziału wykazano w wirusie trzeciego poziomu polimorfizmu, który nazywa się „Poziom 3”. Wirus ten, będąc jednym z najbardziej złożonych wirusów polimorficznych, zalicza się do poziomu 3 zgodnie z powyższym podziałem, ponieważ ma stały algorytm deszyfrowania, poprzedzony dużą liczbą poleceń „śmieci”. Jednak w tym wirusie algorytm generowania "śmieci" został doprowadzony do perfekcji: prawie wszystkie instrukcje procesora i8086 można znaleźć w kodzie deszyfratora.

Jeśli podzielimy na poziomy pod względem antywirusów, które wykorzystują systemy do automatycznego odszyfrowywania kodu wirusa (emulatorów), to podział na poziomy będzie zależał od złożoności emulacji kodu wirusa. Możliwe jest również wykrycie wirusa innymi metodami, na przykład deszyfrowanie przy użyciu podstawowych praw matematycznych itp.

Dlatego wydaje mi się bardziej obiektywny podział, w którym oprócz kryterium masek wirusowych uczestniczą również inne parametry:

Stopień złożoności kodu polimorficznego (procent wszystkich instrukcji procesora, które można znaleźć w kodzie deszyfratora)
Korzystanie ze sztuczek anty-emulatorowych
Trwałość algorytmu deszyfrującego
Stałość długości dekodera

Zmiana kodu wykonywalnego

Najczęściej taką metodę polimorfizmu wykorzystują makrowirusy, które tworząc nowe kopie siebie losowo zmieniają nazwy swoich zmiennych, wstawiają puste wiersze lub w inny sposób zmieniają swój kod. W ten sposób algorytm wirusa pozostaje niezmieniony, ale kod wirusa prawie całkowicie zmienia się z infekcji na infekcję.

Rzadziej ta metoda jest używana przez złożone wirusy rozruchowe. Takie wirusy wstrzykują do sektorów rozruchowych tylko dość krótką procedurę, która odczytuje główny kod wirusa z dysku i przekazuje mu kontrolę. Kod tej procedury jest wybierany spośród kilku różnych opcji (które można również rozcieńczyć „pustymi” poleceniami), polecenia są przegrupowywane między sobą i tak dalej.

Ta technika jest jeszcze rzadsza w przypadku wirusów plikowych, ponieważ muszą całkowicie zmienić swój kod, a to wymaga dość skomplikowanych algorytmów. Do tej pory znane są tylko dwa takie wirusy, z których jeden („Ply”) losowo przenosi swoje polecenia po swoim ciele i zastępuje je poleceniami JMP lub CALL. Inny wirus ("TMC") używa bardziej skomplikowanej metody - za każdym razem, gdy się infekuje, wirus zamienia bloki swojego kodu i danych, wstawia "śmieci", ustawia nowe wartości przesunięcia dla danych w swoich instrukcjach asemblera, zmienia stałe itp. . W rezultacie, mimo że wirus nie szyfruje swojego kodu, jest wirusem polimorficznym - kod nie zawiera stałego zestawu poleceń. Co więcej, podczas tworzenia nowych kopii samego siebie wirus zmienia swoją długość.

Wirusy według rodzaju destrukcyjnych działań

Według rodzaju destrukcyjnych działań wirusy można podzielić na trzy grupy:

Wirusy informacyjne (wirusy pierwszej generacji)

Tak zwane wirusy pierwszej generacji to wszystkie obecnie istniejące wirusy, których działania mają na celu zniszczenie, modyfikację lub kradzież informacji.

Wirusy sprzętowe (wirusy drugiej generacji)

Ten typ wirusa może uszkodzić sprzęt komputera. Na przykład skasuj BIOS lub uszkodź go, złam logiczną strukturę dysku twardego w taki sposób, aby przywrócić go tylko przez formatowanie niskopoziomowe (a nawet wtedy nie zawsze). Jedynym przedstawicielem tego typu jest najniebezpieczniejszy ze wszystkich, jakie kiedykolwiek istniały, wirus Win95.CIH „Chernobl”. W pewnym momencie wirus ten wyłączył miliony komputerów. Usunął program z BIOS-u, tym samym wyłączając komputer, a tym samym zniszczył wszystkie informacje z twardy dysk tak, że jego przywrócenie było prawie niemożliwe.

Obecnie nie znaleziono żadnych „dzikich” wirusów sprzętowych. Ale eksperci już przewidują pojawienie się nowych wirusów tego rodzaju, które mogą zainfekować BIOS. Aby chronić się przed takimi wirusami, planowane jest wykonanie na każdej płycie głównej specjalnych zworek, które zablokują zapis do BIOS-u.

Wirusy psychotropowe (wirusy trzeciej generacji)

Wirusy te są w stanie zabić osobę, wpływając na nią przez monitor lub głośniki komputera. Wirusy psychotropowe, odtwarzając określone dźwięki, daną częstotliwość lub pewne migotanie różnych kolorów na ekranie, mogą powodować napad padaczkowy (u osób podatnych na to) lub zatrzymanie akcji serca, krwotok mózgowy.

Na szczęście do tej pory nie jest znane prawdziwe istnienie takich wirusów. Wielu ekspertów kwestionuje ogólne istnienie tego typu wirusa. Ale jedno jest pewne. Technologie psychotropowe zostały wynalezione od dawna, aby wpływać na człowieka za pomocą dźwięku lub obrazu (nie mylić z ramą 25). Bardzo łatwo jest wywołać napad padaczkowy u osoby podatnej na to. Kilka lat temu w niektórych mediach pojawił się szum o pojawieniu się nowego wirusa o nazwie „666”. Wirus ten po każdych 24 klatkach wyświetla na ekranie specjalną kombinację kolorów, która może zmienić życie widza. W rezultacie człowiek wchodzi w trans hipnotyczny, mózg traci kontrolę nad pracą ciała, co może prowadzić do bolesnego stanu, zmiany trybu pracy serca, ciśnienie krwi itp. Ale dzisiaj kombinacje kolorów nie są zabronione przez prawo. Mogą więc pojawiać się na ekranie całkiem legalnie, choć skutki ich oddziaływania mogą być dla nas wszystkich katastrofalne.

Przykładem takiego wpływu jest kreskówka „Pokemon”, po pokazaniu jednego z seriali w Japonii setki dzieci trafiły do ​​szpitali z okropnym bólem głowy, krwotokiem mózgowym. Niektórzy z nich zginęli. W kreskówce były ramki z jasną generacją określonej palety kolorów, z reguły są to czerwone błyski na czarnym tle w określonej kolejności. Po tym incydencie zakazano wyświetlania tej kreskówki w Japonii.

Można podać jeszcze jeden przykład. Wszyscy chyba pamiętają, co wydarzyło się w Moskwie po transmisji meczu pomiędzy naszą drużyną piłkarską a reprezentacją Japonii (jeśli się nie mylę). Ale dalej duży ekran był tylko film pokazujący, jak mężczyzna z kijem zmiażdżył samochód. Jest to również efekt psychotropowy, widząc w filmie „ludzie” zaczęli niszczyć wszystko i wszystkich na swojej drodze.

Materiały i dane zaczerpnięto z zasobów:
http://www.stopinfection.narod.ru
http://hackers100.narod.ru
http://broxer.narod.ru
http://www.viruslist.com
http://logic-bratsk.ru
http://www.offt.ru
http://www.almanet.info

  • Aby dodawać komentarze, zaloguj się lub zarejestruj

Wirusy makr to potencjalnie niechciane narzędzia napisane w mikrojęzykach, które są osadzone w systemach przetwarzania grafiki i tekstu. Jakie pliki infekują wirusy makr? Odpowiedź jest oczywista. Najczęstsze wersje dla Microsoft Excel, Word i Office 97. Te wirusy są dość powszechne, tak samo łatwe do stworzenia. Dlatego podczas pobierania dokumentów z Internetu należy zachować szczególną ostrożność i dokładność. Większość użytkowników ich nie docenia, przez co popełnia poważny błąd.

Jak komputer zostaje zainfekowany?

Po ustaleniu, czym są wirusy makr, zobaczmy, jak przenikają do systemu i infekują komputer. Prosty sposób ich odtworzenia pozwala trafić w możliwie najkrótszym czasie maksymalna ilość przedmioty. Dzięki możliwościom makrojęzyków, zamykając lub otwierając zainfekowany dokument, przenikają one do wywoływanych programów.

Oznacza to, że podczas korzystania z edytora graficznego makrowirusy infekują wszystko, co jest z nim związane. Co więcej, niektóre są aktywne przez cały czas, gdy uruchomiony jest edytor tekstu lub grafiki, a nawet do całkowitego wyłączenia komputera.

Jaka jest zasada ich pracy

Ich działanie odbywa się zgodnie z następującą zasadą: podczas pracy z dokumentami Microsoft Word wykonuje różne polecenia podane w języku makr. Przede wszystkim program penetruje główny szablon, przez który otwierane są wszystkie pliki tego formatu. W takim przypadku wirus kopiuje swój kod do makr, które zapewniają dostęp do głównych parametrów. Przy wyjściu z programu plik jest automatycznie zapisywany w kropki (używane do tworzenia nowych dokumentów). Następnie dostaje się do standardowych makr, próbując przechwycić polecenia wysyłane do innych plików, również je infekując.

Zakażenie występuje w następujących przypadkach:

  1. Jeśli w wirusie znajduje się automatyczne makro (wykonywane automatycznie po wyłączeniu lub uruchomieniu programu).
  2. Wirus posiada główne makro systemowe (często powiązane z pozycjami menu).
  3. Jest aktywowany automatycznie po naciśnięciu określonych klawiszy lub kombinacji.
  4. Powiela się tylko po uruchomieniu.

Takie wirusy zwykle infekują wszystkie pliki utworzone i powiązane z programami w języku makro.

Jaką szkodę wyrządzają?

Nie należy lekceważyć makrowirusów, ponieważ są one pełnoprawnymi wirusami i powodują znaczne uszkodzenia komputerów. Mogą łatwo usuwać, kopiować lub edytować dowolne obiekty zawierające, w tym dane osobowe. Co więcej, są również w stanie przekazywać informacje innym osobom korzystającym E-mail.

Silniejsze narzędzia mogą generalnie formatować dyski twarde i kontrolować działanie całego komputera. Dlatego błędna jest opinia, że ​​tego rodzaju wirusy komputerowe są niebezpieczne tylko dla edytorów graficznych i tekstowych. W końcu narzędzia takie jak Word i Excel działają w połączeniu z wieloma innymi, które w tym przypadku również są zagrożone.

Rozpoznawanie zainfekowanego pliku

Często pliki zainfekowane makrowirusami i ulegające ich wpływowi wcale nie są trudne do zidentyfikowania. W końcu działają zupełnie inaczej niż inne narzędzia tego samego formatu.

Niebezpieczeństwo można rozpoznać po następujących cechach:

Ponadto zagrożenie często można łatwo wykryć wizualnie. Ich twórcy zwykle podają w zakładce "Podsumowanie" takie informacje jak nazwa narzędzia, kategoria, temat, komentarz i nazwisko autora, co znacznie przyspiesza i ułatwia pozbycie się makrowirusa. Możesz to wywołać za pomocą menu kontekstowego.

Metody usuwania

Po znalezieniu podejrzanego pliku lub dokumentu pierwszą rzeczą do zrobienia jest przeskanowanie go programem antywirusowym. Po wykryciu zagrożenia programy antywirusowe spróbują je wyleczyć, a jeśli to się nie powiedzie, całkowicie zablokują do niego dostęp.

Jeśli cały komputer został zainfekowany, powinieneś skorzystać z pomocy awaryjnej dysk rozruchowy, który zawiera program antywirusowy z najnowszą bazą danych. Przeskanuje dysk twardy i zneutralizuje wszystkie znalezione zagrożenia.

Jeśli nie możesz się w ten sposób zabezpieczyć, Twój program antywirusowy nic nie może zrobić, a nie ma dysku ratunkowego, powinieneś wypróbować „ręczną” metodę leczenia:


W ten sposób usuniesz makrowirusa z zainfekowanego dokumentu, ale w żaden sposób nie oznacza to, że nie pozostał w systemie. Dlatego zaleca się zeskanować całość Komputer osobisty i wszystkie jego dane przez program antywirusowy lub (ich zaletą jest to, że nie wymagają instalacji).

Proces leczenia i czyszczenia komputera z infekcji makrowirusem jest dość skomplikowany, dlatego lepiej jest zapobiegać infekcji na początkowych etapach.


W ten sposób ochronisz się, a makrowirusy nigdy nie przenikną do odpowiednich plików.